Nella giornata di ieri Microsoft ha iniziato a rilasciare le patch di sicurezza previste per l’ultima tornata dell’anno: 17 aggiornamenti per il mese in corso, 106 nell’arco dell’intera annata. Due dettagli, però, meritano un ulteriore approfondimento: una novità preannunciata per il futuro ed una vulnerabilità ereditata dal passato.
La novità preannunciata è una nuova funzione che dovrebbe essere messa a disposizione degli utenti entro i primi mesi del 2011. Trattasi di un layer aggiuntivo di protezione per l’utenza Office 2003 ed Office 2007, per i quali verrà creato un simulacro della Visualizzazione Protetta già disponibile in dotazione standard agli utenti Office 2010. «Tale funzionalità rappresenta un importante meccanismo per bloccare gli attacchi che tentino di sfruttare il formato binario dei file di Office: se all’apertura di uno di questi file (.doc, .xls, .ppt e .pub) si verifica la presenza di un problema nello schema binario del file, questo viene aperto nella Visualizzazione Protetta (Protected View in inglese) che allerta l’utente e opera in modalità di sola lettura in modo da limitare le funzionalità di editing che potrebbero danneggiare il sistema (se fossimo davvero in presenza di un file di exploit)».
Approfondisce Feliciano Intini sul NonSoloSecurity Blog: «tale funzionalità verrà estesa in modo da permettere l’aggiornamento dinamico delle minacce rilevabili grazie all’uso di file di signature alla pari di come opera un software antivirus: se la distribuzione di queste firme riuscirà ad essere fatta in modo veloce rispetto alla scoperta di nuove vulnerabilità, si abiliterà così Office ad essere più velocemente protetto rispetto al rischio di attacchi 0-day».
Ad una buona notizia fa da contraltare una notizia di segno opposto: nonostante 17 patch e decine di vulnerabilità risolte, infatti, un bug è rimasto scoperto e continuerà a rappresentare una minaccia per l’utenza fino a prossimo aggiornamento. La segnalazione giunge da Marco Giuliani del team Prevx, secondo cui il bug sarebbe stato identificato nei mesi scorsi in win32k.sys e sarebbe oggi sotto la spada di Damocle di un exploit pubblico pronto a sfociare in vero e proprio malware virale.